security

【バズワードを学ぶ】SMBCのコード流出とGitHubの利用を考える

www.youtube.com 先週話題になった「SMBCのコード流出」とそれに伴う「GitHubの利用問題」です。今回の件に限って言えばGithubはほぼ関係ない業務委託先からの情報流出ですが「GitHubが禁止にされるのではないか?」という話題もネット上ではされていたので…

テックポエム:014 - ハロウィンだしセキュリティの話をしよう!

www.youtube.com はじめに サイバーセキュリティとは? 10年間でのセキュリティ攻撃の変化 最近のセキュリティ対策のトレンド 便利なセキュリティ クラウドとセキュリティ 自動化とAI まとめ はじめに 10月といえば「サイバーセキュリティ国際キャンペーン」…

IPアドレスは個人情報ですか? Yes、その通り!

はじめに 動画の補足&解説 個人情報とは? IPアドレスと一意性 Re-identificationとビッグデータ 注目するべき法律/レギュレーション/スタンダード 個人情報の取り扱い方と非個人情報化(De-identification) まとめ はじめに 最近、noteでIPアドレスが漏洩し…

BeyondCorp? ゼロトラスト? VPNを超えていけ!

TL;DR はじめに BeyondCorp << ゼロトラスト ゼロトラストセキュリティ リモート接続のセキュリティ3要素 Authentication/認証 Device Trust/機器認証 Encryption/暗号化 VPNの問題点 キャパシティ/パフォーマンス 適切な制御の難しさ 一貫したセキュリティ…

そもそもJWTに関する私の理解は完全に間違っていた!

TL;DR ステートレスなJWTはそもそもセッションの代替では無い アクセストークンとしての利用が基本で数分レベルの短寿命な有効期限で利用 従来のセッションに近い概念はリフレッシュトークン。てか、リフレッシュトークンはセッションでも(たぶん)良い ユー…

「二段階認証…?」と言わないためのMFA入門 --- あるいはIDシステム地獄への案内

はじめに さて、7 Payの社長が2段階認証知らなかった問題が良い感じに炎上していますね。 個人的には常に知っておく必要が絶対あるかというと専門分野の問題があるから議論の余地あるとして、セキュリティの問題で会見するなら部下にちゃんとレクさせろよ、…

OAuth2.0のclient_secretって本当に秘密鍵ですか?

OAuthをしているサービスをAndroid + PhoneGap経由で使いたくて調べて見ました。 そして、色々調べたり考えたりした結果、 client_secret ってそもそも秘密鍵にする必要なくね? という天啓を得たので、つらつらと書いてみます。secretって名前なのに秘密で…

そろそろモパイルサイトのかんたんログインについて一言いっておくか

タイトルは半分釣りです(ぉ 特に物申してるわけではなく、現状を軽くまとめただけですね。 なんか、勘違いとか補足があれば是非ぜひツッコミを! そもそも「かんたんログイン」って? いわゆるオートログインという奴のモバイル版の言い方? の様です。 基…